1. Repositorio CYT
2. Ingeniería
3. Investigaciones

Autor(es):	Eterovic, Jorge Esteban Zeballos, Martín Silvestri, Valeria Vera, Andrea Sinopoli, Alesio Esteban
Título:	Análisis de las Herramientas SAST
Director(es):	Eterovic, Jorge Esteban
Descriptores y temas:	SOPORTE LOGICO APLICACIONES DE COMPUTADORAS
Editor:	Universidad Nacional de La Matanza
Referencia sugerida:	Eterovic, J. E., Zeballos, M., Silvestri, V. y Vera, A. (2022). Análisis de las Herramientas SAST (Informe C2ING94). Universidad Nacional de La Matanza. http://repositoriocyt.unlam.edu.ar/handle/123456789/2220
Resumen y filiaciones:	Las pruebas estáticas de seguridad de las aplicaciones que se utilizan para proteger el software se denominan SAST (Static Application Security Testing) y consisten en la revisión automática del código fuente para identificar patrones vulnerables. Las herramientas SAST permiten automatizar la detección de vulnerabilidades y se pueden integrar al sistema de CI/CD (integración/distribución continua) para que detecten vulnerabilidades en etapas tempranas del ciclo de vida. Esto ayuda al equipo de Seguridad de las Aplicaciones a implementar un ciclo de vida del desarrollo de software seguro. CI/CD es un método para distribuir las aplicaciones a los clientes mediante el uso de la automatización en las etapas del desarrollo de las aplicaciones. Los principales conceptos que se le atribuyen son la integración, la distribución y la implementación continuas. Se trata de una solución para los problemas que la integración de código nuevo puede generar a los equipos de desarrollo y de operaciones. El proceso de integración y distribución continuas incorpora la automatización y la supervisión permanentes en todo el ciclo de vida de las aplicaciones, desde las etapas de integración y prueba hasta las de distribución e implementación. En este contexto, cualquier equipo de Seguridad de las Aplicaciones se enfrentará al desafío de automatizar los chequeos de seguridad y encontrará la solución en herramientas SASTIntegrar una herramienta SAST al proceso de CI/CD permite detectar vulnerabilidades en la etapa de desarrollo, en vez de esperar a la etapa de prueba o que se detecten directamente en producción. Una vulnerabilidad en producción implica un riesgo constante, cuesta mucho esfuerzo de los expertos en seguridad detectarla y para los desarrolladores es difícil de corregir. En cambio, si se detecta durante la etapa de desarrollo, nunca generó un riesgo real, no requirió esfuerzo de personas de seguridad para detectarla y es mucho más fácil de corregir. Hay disponibles herramientas SAST gratuitas para los repositorios open-source y pagas para los repositorios privados. Por ejemplo, GitHub es una plataforma de desarrollo colaborativo para alojar proyectos de desarrollo de software utilizando un sistema de control de versiones y tiene la sección Code Scanning (“escaneo de código” en español) con muchas herramientas SAST. Algunas son open-source, otras usan un motor privado pero las reglas son open-source y algunas pocas son totalmente privadas. Este proyecto de investigación propone hacer un análisis de estas herramientas SAST y aportar los resultados obtenidos a la comunidad open-source para mejorar la seguridad de los repositorios de proyectos de desarrollo de software que las utilizan. Fil: Eterovic, Jorge Esteban. Universidad Nacional de La Matanza; Argentina. Fil: Zeballos, Martín. Universidad Nacional de La Matanza; Argentina. Fil: Silvestri, Valeria. Universidad Nacional de La Matanza; Argentina. Fil: Vera, Andrea. Universidad Nacional de La Matanza; Argentina. Fil: Sinopoli, Alesio Esteban. Universidad Nacional de La Matanza; Argentina.
URI:	http://repositoriocyt.unlam.edu.ar/handle/123456789/2220
Aparece en las colecciones:	Investigaciones

Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.